zkSecurity团队近日公布了其AI审计智能体“zkao”的首个实战成果。该智能体对Cloudflare的开源密码学库CIRCL进行了全面扫描,成功发现并确认了7个安全漏洞,涉及阈值RSA签名、DLEQ证明、BLS聚合签名及CP-ABE访问控制等关键模块。此次审计采用了“LLM+专家技能”的架构,测试了Claude Opus与GPT等模型在识别代码逻辑缺陷方面的能力。其中,最严重的漏洞包括CP-ABE方案中因单行代码错误导致的访问控制完全失效,以及BLS聚合签名中缺少消息唯一性检查所引发的公钥攻击。尽管AI在漏洞严重程度的评估上仍存在偏差,但其在发现隐蔽性极强的逻辑缺陷(如符号碰撞导致的伪造攻击)方面展现出超越传统静态分析的潜力。目前所有漏洞已由Cloudflare修复并确认,证明了AI智能体在代码安全审计中作为辅助工具的巨大价值。
事件分析
💡 核心观点:AI智能体已具备挖掘复杂逻辑漏洞的能力,软件安全审计正加速从“人工主导”向“人机协同”范式演进。
原文链接:Hacker News





